Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración para hosts infectados

Umbral de nivel de amenaza para el bloqueo

Establezca el nivel de amenaza global para bloquear los hosts infectados. Cuando se descubre que un host está comprometido, se le asigna un nivel de amenaza. Según el nivel de amenaza global que establezca aquí, de la que 1 al 10 es la amenaza más alta, los hosts comprometidos con el nivel de amenaza establecido y superior se agregan a las listas de hosts infectados y, posteriormente, pueden bloquearse mediante políticas configuradas en el firewall de la serie SRX. Consulte Descripción general de hosts y Configuración del firewall de la serie SRX para bloquear hosts infectados para obtener más información.

Puede configurar Juniper ATP Cloud para que envíe correos electrónicos cuando se alcancen ciertos niveles de amenaza para los hosts infectados. Por ejemplo, puede enviar correos electrónicos a un departamento de TI cuando se alcanzan los umbrales de 5 y enviar correos electrónicos a un departamento de escalación cuando se alcanzan los umbrales de 9.

Puede enviar correos electrónicos a cualquier cuenta; no está restringido a los correos electrónicos de administrador definidos en la ventana Usuarios. La interfaz de usuario web no comprueba si una cuenta de correo electrónico es válida.

Configurar el umbral de nivel de amenaza para el bloqueo y las alertas por correo electrónico

Beneficios de las alertas globales de hosts infectados

  • Las alertas por correo electrónico de hosts infectados llaman la atención inmediata de los administradores cuando surge un posible problema de seguridad de red.

  • Las alertas por correo electrónico solo se pueden configurar para administradores específicos y no para todos los usuarios del portal web, orientando las alertas de forma más limitada.

  1. Seleccione Configurar > hosts infectados.

  2. (Solo licencias avanzadas) Establezca el umbral de nivel de amenaza predeterminado.

  3. Haga clic en el signo más para crear alertas por correo electrónico o haga clic en el icono del lápiz para editar las existentes. Configure los campos descritos en la tabla siguiente.

  4. Haga clic en Aceptar.

Tabla 1: Alertas por correo electrónico para campos de hosts infectados

Ajuste

Directriz

Nivel de amenaza

Seleccione un nivel de amenaza entre 1 y 10. Cuando se alcanza este nivel, se envía un correo electrónico a la dirección que proporcionó.

Correo electrónico

Introduzca una dirección de correo electrónico.

Caducar automáticamente los hosts bloqueados

Cuando un host se marca como infectado y se agrega a la fuente de hosts infectados, se bloquea de la red mediante directivas configuradas en el firewall de la serie SRX. Hay opciones para desbloquear hosts individuales en la página Detalles del host del portal web ATP Cloud de Juniper. Consulte Descripción general de hosts para obtener más información. Si desea desbloquear varias direcciones IP de host en función del período de tiempo y el nivel de amenaza, debe usar la característica Caducar automáticamente hosts bloqueados en la página Hosts infectados del portal web.

Desde la página Hosts infectados globales, puede configurar los hosts infectados para que caduquen después de un tiempo configurado en función de un nivel de amenaza mínimo y máximo. Una vez que se alcanza el período de tiempo, las direcciones IP bloqueadas ya no se marcan como infectadas y, por lo tanto, ya no se bloquean.

Un ejemplo de cuándo puede usar esta característica es si está utilizando direcciones DHCP y reasignando direcciones según una programación establecida. En ese caso, es posible que desee establecer un tiempo de caducidad para los hosts infectados (basado en los tiempos de concesión de direcciones IP), después del cual las direcciones ya no se marcan como infectadas.

Configurar la expiración automática de hosts infectados

  1. Seleccione Configurar > hosts infectados.

  2. (Solo administradores y operadores de sistemas) Habilite Caducar automáticamente los hosts bloqueados y seleccione una de las siguientes opciones:

    • Caducar todos los hosts

    • Caducar un rango de hosts: introduzca un intervalo de direcciones IPv4 o IPv6.

      Cualquiera de los siguientes formatos IPv4 es válido: 1.2.3.4/30, or 1.2.3.4-1.2.3.6

      Cualquiera de los siguientes formatos IPv6 es válido: 1111::1-1111::9, or 1111:1::0/64

      Nota:

      No se aceptan más de un bloque de direcciones IPv4 /16 y direcciones IPv6 /48. Por ejemplo, 10.0.0.0-10.0.255.255 es válido, pero 10.0.0.0-10.1.0.0 no lo es.

      Máscaras de bits: la cantidad máxima de direcciones IP cubiertas por la máscara de bits en un registro de subred para IPv4 es 16 y para IPv6 es 48. Por ejemplo, 10.0.0.0/15 y 1234::/47 no son válidos. También se acepta la notación CIDR.

  3. Tanto para Expire all hosts como para Expire un rango de hosts, también debe establecer el tiempo de expiración y los niveles de amenaza. Haga clic en el signo más + para crear una entrada y establezca lo siguiente en la tabla Tiempo de caducidad .

    Tabla 2: Campos de tiempo de expiración

    Ajuste

    Directriz

    Establecer el nivel mínimo de amenaza

    Haga clic en la entrada de la tabla en Nivel mínimo de amenaza para acceder a un menú desplegable. Seleccione un nivel de amenaza mínimo (1-10). El nivel que seleccione se incluirá en la configuración mínima.

    Establecer el nivel máximo de amenaza

    Haga clic en la entrada de la tabla en Nivel máximo de amenaza para acceder a un menú desplegable. Seleccione un nivel de amenaza máximo (1-10). El nivel que seleccione se incluirá en el ajuste máximo.

    Establecer las horas para desbloquear

    Haga clic en la entrada de la tabla en Horas para desbloquear. Puede seleccionar Nunca, 6, 12, 18 o 24 horas. Después de la cantidad establecida de horas, la etiqueta infectada caduca y los hosts ya no están bloqueados.

    Por ejemplo, si establece el mínimo en 6 y el máximo en 8 con horas para desbloquear como 24, ocurriría lo siguiente. Todos los hosts infectados con un nivel de amenaza de 6 o superior y 8 e inferior caducarían después de 24 horas.

    Nota:

    Puede crear varias entradas en esta tabla, estableciendo diferentes tiempos de caducidad para diferentes niveles de amenaza.

    Una vez introducida la configuración de desbloqueo en la tabla, puede utilizar la tabla para cambiar la configuración existente o para eliminar la configuración.

  4. Haga clic en Guardar para guardar la configuración.

Documentación relacionada